Incidentes de seguridad en entornos de firma electrónica tras el #eIDAS

El Reglamento (UE) Nº 910/2014, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (Reglamento eIDAS) prevé la notificación de Incidentes de seguridad, según se recoge en el artículo 19.2 .

Los prestadores de servicios  electrónicos de confianza, cualificados y no cualificados, sin demoras indebidas pero en cualquier caso en un plazo de 24 horas tras tener conocimiento de ellas, notificarán al organismo de supervisión (en España, el Ministerio de Energía, Turismo y Agenda Digital) y, en caso pertinente, a otros organismos relevantes como el organismo nacional competente en materia de seguridad de la información, o la autoridad de protección de datos (en España, la Agencia de Protección de Datos), cualquier violación de la seguridad o pérdida de la integridad que tenga un impacto significativo en el servicio de confianza prestado o en los datos personales correspondientes.

Asimismo, cuando la violación de seguridad o la pérdida de integridad puedan afectar a una persona física o jurídica a la que se ha prestado el servicio de confianza, el prestador de servicios de confianza debe notificar el incidente a la persona física o jurídica afectada.

Acceso al procedimiento de notificación.

Notificaciones que deben remitir a la SESIAD los prestadores de servicios electrónicos de confianza que inicien o presten servicios de confianza cualificados y no cualificados.

Supervisión contemplada en el Reglamento (UE) Nº 910/2014, en la Ley 59/2003 de Firma Electrónica.

Las normas de firma electrónica y el Reglamento #EIDAS

Las primeras regulaciones de la firma electrónica tienen su origen en Estados Unidos, y en los trabajos de organismos internacionales como la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI).

De las Naciones Unidas son la Ley Modelo sobre Comercio Electrónico (1996) y la Ley Modelo para las Firmas Eléctrónicas (2001).

En el ámbito europeo, la regulación común se ha basado hasta el año 2016 en la Directiva 1999/93/ CE, por la que se establece un marco comunitario para la firma electrónica, y en la Directiva 2000/31/CE, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular el comercio electrónico.

Con fecha 23 de Julio de 2014 y publicación en el Diario Oficial de la Unión Europea (DOUE) el 28 de agosto de 2014, el Parlamento Europeo y el Consejo de la Unión Europea han adoptado el Reglamento 910/2014 (identificado con la etiqueta #eIdAS), relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE.

La derogación de la Directiva conllevaría la derogación de las Leyes nacionales desarrolladas por mandato de la citada Directiva, pero en la práctica, esta derogación no es expresa y plantea problemas de interpretación cuando un artículo de la Ley (en España la Ley 59/2003) entra en conflicto con el Reglamento, que es de directa aplicación.

A partir del 1 de Julio de 2016 (art. 50),  se establece un régimen transitorio hasta el 1 de julio de 2017, en el que los dispositivos seguros de creación de firma cuya conformidad se haya determinado con arreglo a la Directiva 1999/93/CE se considerarán dispositivos cualificados de creación de firma electrónica con arreglo a la nueva normativa.

En este período, los certificados reconocidos de persona física expedidos con anterioridad se considerarán certificados cualificados de persona física conforme al nuevo reglamento hasta que caduquen. Sin embargo, los certificados reconocidos de persona jurídica expedidos con anterioridad NO se considerarán certificados cualificados conforme al nuevo reglamento.

En el mismo sentido, desde el 1 de julio de 2016 hasta el 1 de julio de 2017,  los Prestadores de Servicios de Certificación que emiten certificados reconocidos de persona física pueden seguir prestando el servicio y manteniendo la consideración de Prestadores de Servicios Electrónicos de Confianza cualificados,  si bien para mantener esa consideración a partir del 1 de julio de 2017 deben presentar al organismo supervisor (el MINETAD) un informe de evaluación (Conformity Assessment Report) realizado por una entidad de evaluación de conformidad acreditada ante el organismo de acreditación de cada país (en España, ENAC).

La nueva normativa amplía el marco regulatorio de la Directiva 1999/93/CE, con interacciones con la normativa en materia de protección de datos, con la de sanidad electrónica intercomunitaria, con la de Ciberseguridad, con la de prevención del blanqueo de capitales y con la Segunda Directiva de Pagos.

El Reglamento #eIdAS obliga a las Administraciones Públicas en todo el ámbito de la Unión Europa, a aceptar los servicios electrónicos de confianza cualificados prestados por Proveedores de otros estados miembros, y, especialmente a aceptar los sistemas de identificación y autenticación notificados.

De esta forma pretende las barreras existentes para el uso transfronterizo de los medios de identificación electrónica utilizados en los Estados miembros para autenticar al menos en los servicios públicos, y obligando a que los sistemas nacionales de identificación electrónica notificados (insistimos, notificados) sean admitidos en todos los Estados miembros.

A la difuminación de barreras transfronterizas contribuirá la creación de una marca común de confianza que pueden ostentar los Prestadores de Servicios Electrónicos de Confianza cualificados. La marca de confianza se ha creado mediante el Reglamento de Ejecución (UE) 2015/806 de la Comisión de 22 de mayo de 2015 por el que se establecen especificaciones relativas a la forma de la etiqueta de confianza «UE» para servicios de confianza cualificados.

También contribuye al acceso transfronterizo la creación de un sistema técnico de referencia que señala todos los prestadores cualificados de la unión europea de forma que puede automatizarse la obtención del censo de prestadores de servicios electrónicos de confianza cualificados en virtud de las listas Trusted Services List – TSL. Estas TSL, en su versión más actualizada (puesto que hubo otra versión desarrollada al amparo de la Directiva 1999/93CE) se imponen por Decisión de Ejecución (UE) 2015/1505 de la Comisión de 8 de septiembre de 2015 por la que se establecen las especificaciones técnicas y los formatos relacionados con las listas de confianza de conformidad con el artículo 22, apartado 5, del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

 

 

¿Cuantos tipos de firma avanzada existen?

El Reglamento (UE) 910/2014 (EIDAS) define tres tipos de firma electrónica:

  • «firma electrónica (simple)», los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
  • «firma electrónica avanzada», la firma electrónica que cumple los siguientes requisitos:
    • estar vinculada al firmante de manera única.
    • permitir la identificación del firmante.
    • haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
    • estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
  • «firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.

La firma electrónica avanzada puede ser:

  • No basada en certificados. En cuyo caso, la vinculación del firmante con lo firmado, la identificación del firmante y su creación con un alto nivel de confianza, bajo su control exclusivo, deberá gestionarse con técnicas apropiadas, incluyendo las criptográficas.
  • Basada en certificados. En cuyo caso se dan dos variantes:
    • Certificados no cualificados.
    • Certificados cualificados. En cuyo caso se dan dos variantes:
      • No basadas en dispositivos cualificados de creación de firma
      • Basadas en dispositivos cualificados de creación de firma. Esta es la firma cualificada.

Muchas normas dan valor jurídico a diferentes tipos de firmas avanzadas. Por ejemplo, la Ley 18/2011 da valor de forma expresa a la firma avanzada basada en certificado cualificado, y no basadas en un dispositivo cualificado de creación de firma:

Artículo 14. Formas de identificación y autenticación.

1. La Administración de Justicia admitirá, en sus relaciones por medios electrónicos, sistemas de firma electrónica que sean conformes a lo establecido en (la ley 18/2011 hacer referencia a la Ley 59/2003, de 19 de diciembre, de firma electrónica, pero en la actualidad sta refeencia debe entenderse en relación con el Reglamento UE 910/2014) y resulten adecuados para garantizar la identificación de los firmantes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

2. Sin perjuicio de lo dispuesto en los artículos 4 y 6 de la presente Ley y en todo caso, con sujeción estricta a lo dispuesto por las leyes procesales, los ciudadanos y profesionales del ámbito de la Justicia podrán utilizar los siguientes sistemas de firma electrónica para relacionarse con la Administración de Justicia:

(…)

b) Sistemas de firma electrónica avanzada, incluyendo los basados en certificado electrónico reconocido, admitidos por las Administraciones públicas.

c) Otros sistemas de firma electrónica, como la utilización de claves concertadas en un registro previo como usuario, la aportación de información conocida por ambas partes u otros sistemas no criptográficos, en los términos y condiciones que en cada caso se determinen.

No olvidemos que el Artículo 25 del Reglamento UE 910/2014 define los Efectos jurídicos de las firmas electrónicas

1. No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.

2. Una firma electrónica cualificada tendrá un efecto jurídico equivalente al de una firma manuscrita.

3. Una firma electrónica cualificada basada en un certificado cualificado emitido en un Estado miembro será reconocida como una firma electrónica cualificada en todos los demás Estados miembros.

Nueva taxonomía de servicios electrónicos de confianza digital tras el #eIdAS

El Reglamento (UE) nº 910/2014 del Parlamento europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (eIDAS) es de aplicación completa el 1 de julio de 2016.

La información mostrada en la página web del Ministerio de Industria, Energía y Turismo (MINETUR) sobre los prestadores de servicios de certificación electrónica se ha adecuado a la nueva clasificación y categorías de servicios previstos en el citado Reglamento eIDAS.

Por ello, a partir del 1 de julio de 2016, el MINETUR publica una nueva versión de la base de datos de prestadores de servicios con la siguiente estructura:

A. Servicios electrónicos de confianza cualificados:

  • servicio de expedición de certificados electrónicos cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos cualificados de tiempo;
  • servicio cualificado de entrega electrónica certificada;
  • servicio cualificado de validación de firmas electrónicas cualificadas;
  • servicio cualificado de validación de sellos electrónicos cualificados;
  • servicio cualificado de conservación de firmas electrónicas cualificadas;
  • servicio cualificado de conservación de sellos electrónicos cualificados.

B. Servicios electrónicos de confianza no cualificados:

  • servicio de expedición de certificados electrónicos no cualificados de firma electrónica;
  • servicio de expedición de certificados electrónicos no cualificados de sello electrónico;
  • servicio de expedición de certificados electrónicos no cualificados de autenticación de sitios web;
  • servicio de expedición de sellos electrónicos no cualificados de tiempo;
  • servicio no cualificado de entrega electrónica certificada;
  • servicio no cualificado de validación de firmas electrónicas;
  • servicio no cualificado de validación de sellos electrónicos;
  • servicio no cualificado de conservación de firmas electrónicas;
  • servicio no cualificado de conservación de sellos electrónicos.

C. Otros servicios:

Apartado en el que se publican los servicios relacionados con la firma electrónica que no tienen la condición de servicio de confianza según el Reglamento eIDAS pero que tendrían cabida en el marco de la Ley 59/2003, de 19 de diciembre, de firma electrónica, entre los que se encuentran los servicios de expedición de certificados electrónicos de persona jurídica o entidad sin personalidad jurídica, los servicios de expedición de certificados de componentes, los servicios de certificación de publicaciones o los servicios de contratación electrónica.

Adicionalmente, se proporciona la posibilidad de obtener información categorizada sobre los servicios de expedición de certificados electrónicos utilizados como sistemas de identificación y firma de las Administraciones Públicas (Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público):

  • servicio de expedición de certificados electrónicos de sede electrónica de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de sello de las Administraciones Públicas;
  • servicio de expedición de certificados electrónicos de empleado público.

Open banking

La apertura de las APIs de los bancos a terceros, a través de plataformas abiertas (open platform) es lo que se denomina  open banking.

Las entidades financieras que ofrecen estas APIs se convierten en plataformas de crecimiento viral  ya que en ellas se apoyan otras entidades entre las que puede estar la próxima oferta disruptiva que revolucione un determinado modo de hacer las cosas.

Al abrir los datos de los bancos a desarrolladores, startups y otros partners del mundo Fintech, no solo se potencia la entidad sino también se empodera a sus clientes.

Además, en breve plazo, la Segunda Directiva de Pagos PSD2 hará obligatoria para las entidades financieras la disponibilidad de este tipo de interfaces para ponerlos a disposición de agregadores de información  e iniciadores de pagos.

El aspecto clave de estos futuros servicios de Open banking es la gestión de identidad, por lo que, claramente, las Fintech del futuro, en buena medida, serán Prestadores de Servicios de Confianza Digital y deberán someterse a lo previsto pr el Reglamento UE 910/2014 (#eIdAS)

 

Trusted Service Status List y Tablón Edictal Único en la administración electrónica

La Ley 15/2014, de 16 de septiembre, de racionalización del Sector Público y otras medidas de reforma administrativa. modifica la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, para asegurar el uso de una única relación de certificados electrónicos reconocidos en todas las Administraciones Públicas, de manera que se liberen recursos administrativos para otros fines más productivos y se eliminen los costes y cargas que su aceptación en cada Administración Pública supone para los prestadores de servicios.

Esta es una medida que no debiera ser necesaria puesto que se deduce de la Directiva 1999/93CE,  pero en la práctica muchas administraciones hacían caso omiso de las TSL (Trusted Service Status List) ya existentes.

La lista TSL que la Ley 15/2014, de 16 de septiembre, hace de uso obligatorio es la lista de confianza de prestadores de servicios de certificación establecidos en España que mantiene el Ministerio de Industria, Energía y Turismo, que contiene, de manera diferenciada, los certificados electrónicos reconocidos correspondientes a los sistemas de firma electrónica avanzada admitidos por las Administraciones Públicas.

Dicha lista, desde la publicación de la Ley sustituye a las relaciones de prestadores de servicios de certificación que solían mantener muchas Administraciones (en aplicación del artículo 15.2 de la Ley 11/2007, de 22 de junio), que desde entonces han pasado a ser ilegales.

Debe tenerse en cuenta que en la fecha de publicación de la Ley ya se había publicado el Reglamento europeo UE 910/2014 (EIDAS) sobre identificación electrónica y servicios de confianza para las transacciones en el mercado interior, que obliga a las Administraciones Públicas a admitir también los certificados electrónicos reconocidos emitidos por prestadores de servicios que figuren en las listas de confianza de todos los demás Estados miembros de la Unión Europea, para lo que se publica la TSL raiz, lista de listas, que permite acceder a las listas TSL nacionales.

En la Ley indicada se instauró el Tablón Edictal Único a través del «Boletín Oficial del Estado», como diario oficial de la entera organización estatal, no solamente de la Administración General del Estado. A través del TEU las Administraciones autonómicas y locales también pueden insertar sus anuncios, ya que la estructura interna del BOE se rige por criterios subjetivos, distinguiendo los actos a publicar en razón de la Administración de la que procedan.

Todas estas publicaciones tienen carácter gratuito, conforme establece la normativa reguladora del diario oficial, por tratarse de inserciones obligatorias según norma con rango de ley.

De esta manera, el ciudadano sabrá que, mediante el acceso on-line a un único servidor web y con la garantía y seguridad jurídica que supone el «Boletín Oficial del Estado», puede tener conocimiento de todos los anuncios para ser notificado que le puedan afectar, independientemente de cuál sea el órgano que los realiza o la materia sobre la que versan.

Un aspecto llamativo de la Ley es que establece el instrumento jurídico de la encomienda general para integrar las diferentes encomiendas de gestión que la Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda viene cumpliendo en el ámbito de los servicios de administración electrónica.

 

Firma biómetrica de trazo escrito

firma-digitalizada2013El mercado de la firma biómetrica digital es todavía un sector incipiente pero que está ofreciendo muchas oportunidades a las empresas que ya han empezado a implantar esta tecnología. Entre otras ventajas, esta tecnología permite a los usuarios realizar firmas manuscritas en formato electrónico sobre tabletas de una forma totalmente segura y fiable, como si estuviese firmando un documento en papel. Los archivos se guardan y certifican no sólo teniendo en cuenta el grafo del firmante, sino también otros datos biométricos como la velocidad o la presión con la que se firma, lo que garantiza una total seguridad en cualquier operación que se haga.

La firma biométrica permite además una mayor agilidad y seguridad en el proceso de contratación, pudiendo firmar un mismo documento por diferentes personas en lugares y momentos distintos. Soporta la inclusión de Sellado de tiempo en las operaciones de firma, así como geolocalización cuando se realiza desde dispositivos móviles. Además, supone una disminución de pérdidas o errores  operativos, con el consecuente ahorro de costes.

Este tipo de firma, llamado también firma manuscrita digitalizada avanzada, es una firma electrónica según lo establecido por la Ley 59/2003 para las firmas electrónicas avanzadas pero que admite la prueba pericial de firma de forma semejante a las firma manuscritas realizadas en papel.

Pero no todas las firmas realizadas sobre tabletas digitalizadoras tienen las mismas garantías de seguridad. Para tener la certeza de que la entidad que capta la firma no puede utilizarla en otros documentos diferentes es convenienete cerciorarse de que es un sistema auditado y certificado.

EADTrust  es la entidad que audita y certifica este tipo de soluciones. Y otorga el logo de calidad a los sistemas auditados.

Contactar con el 902 365 612 para conocer las soluciones ya auditadas y certificadas.

 

Extracto de las condiciones de uso de certificados de la FNMT

Ampliando las explicaciones del artículo de hace unos días, se transcribe a continuación la información detallada proporcionada por la propia FNMT.

EXTRACTO DE LA DECLARACIÓN DE PRÁCTICAS DE CERTIFICACIÓN DE LA FNMT-RCM

A continuación se presenta un extracto de la Declaración de Prácticas de Certificación(*)mediante el cual no se pretende dar cumplimiento a lo dispuesto por el artículo 18 b) de la Ley núm. 59/2003 de firma electrónica, sino sólo informar de dicho deber, el cual por razones de espacio quedará satisfecho con la Declaración de Prácticas de Certificación, puesta a disposición en formato digital en el URL. En todo caso, con independencia del presente extracto, el Solicitante, Suscriptor, Oficina de Registro, y FNMT-RCM deberán suscribir el correspondiente contrato que, como mínimo, deberá incluir la mencionada Declaración de Prácticas de Certificación.

ASPECTOS GENERALES

  1. La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), procederá a la expedición de los Certificados a todos los interesados que hubieran formulado su solicitud y suscriban el presente documento.
  2. Los Solicitantes de Certificados deberán ser personas físicas, mayores de edad (o menores emancipados) y en posesión del correspondiente DNI o NIE (número de identificación de extranjeros).
  3. La expedición de Certificados y la anotación en el registro correspondiente por la FNMT-RCM otorgará a los interesados la condición de Entidad usuaria de la Comunidad Electrónica de la FNMT-RCM.

CARACTERÍSTICAS DE LOS CERTIFICADOS

  1. La FNMT-RCM no facilitará información sobre los procesos técnicos de producción y expedición de Certificados, los cuales tendrán la condición de confidenciales, sin perjuicio de lo que se ordenare por Ley, resolución judicial o administrativa.
  2. El Certificado a expedir por la FNMT-RCM se basa, en cuanto a su formato, en la versión 3 de la recomendación internacional X.509 de la UIT y será expedido con la cualidad de Certificado Reconocido con base en los criterios para ello establecido en la Ley núm. 59/2003 de Firma Electrónica.
  3. La emisión y firma electrónica del Certificado se realizará por la FNMT-RCM.

CONDICIONES DE UTILIZACIÓN

  1. Uso de los Certificados: Para poder usar los Certificados o confiar en documentos firmados electrónicamente con base en los mismos, se deberá previamente formar parte de la Comunidad Electrónica, y adquirir la condición de Entidad usuaria. Fuera de la Comunidad Electrónica no se debe confiar en un Certificado o en una firma electrónica que se base en un Certificado. En cualquier caso, de producirse esta confianza por parte de un tercero, no se obtendrá cobertura de la presente Declaración de Prácticas de Certificación, y se carecerá de legitimidad alguna para reclamar o emprender acciones judiciales contra la FNMT-RCM por daños, perjuicios, o conflictos provenientes del uso o confianza en un Certificado.
  2. Límites de uso de los Certificados: Incluso dentro del ámbito de la Comunidad Electrónica, no se podrá emplear este tipo de Certificado para: (i) Firmar electrónicamente otro certificado; (ii) Firmar electrónicamente software o componentes; (iii) Generar sellos de tiempo para procedimientos de Fechado electrónico; (iv) Prestar servicios a título gratuito u oneroso, como por ejemplo serían a título enunciativo: prestar servicios de OCSP, generar Listas de Revocación, prestar servicios de notificación; (v) Realizar transacciones económicas superiores a 100€, salvo que: uno de los intervinientes sea una Entidad usuaria de Derecho Público o medie autorización expresa y escrita de la FNMT-RCM para hacerlo y, en ese caso, en las condiciones que se establezcan en dicha autorización.
  3. Obligaciones del Suscriptor: (i) Aportar información verdadera en la solicitud de los Certificados, y mantenerla actualizada; (ii) Actuar con diligencia respecto de la custodia y conservación de los Datos de creación de Firma o cualquier otra información sensible como Claves, códigos de activación del Certificado, palabras de acceso, números de identificación personal, etc., así como de los soportes de los Certificados, lo que comprende en todo caso, la no revelación de ninguno de los datos mencionados; (iii) Conocer y cumplir las condiciones de utilización de los Certificados previstos en la Declaración de Prácticas de Certificación y, en particular, las limitaciones de uso de los Certificados; (iv) Conocer y cumplir tanto la Declaración de Prácticas de Certificación como las modificaciones que en ella se produzcan; (v) Notificar diligentemente a la FNMT-RCM o a cualquier otra Oficina de Registro, las circunstancias o sospecha de pérdida de la Confidencialidad, la divulgación, modificación o uso no autorizado de los Datos de creación de Firma, solicitando además la revocación del correspondiente Certificado; (vi) Revisar la información contenida en el Certificado, y notificar a la Oficina de Registro cualquier error o inexactitud; (vii) Verificar con carácter previo a confiar en los Certificados, la Firma electrónica reconocida del Prestador de Servicios de Certificación emisor del Certificado; (viii) Notificar diligentemente a la FNMT-RCM o a cualquier otra Oficina de Registro cualquier modificación de los datos aportados en la solicitud del Certificado, solicitando cuando consecuentemente fuere pertinente la revocación del mismo; (ix) Devolver o destruir el Certificado cuando así lo exija la FNMT-RCM o la Oficina de Registro, cuando el Certificado caduque, o cuando sea revocado; (x) No usar el Certificado fuera de la Comunidad Electrónica.
  4. Obligaciones de la FNMT-RCM como Prestador de Servicios de Certificación:
    La FNMT-RCM con carácter previo a la emisión del Certificado deberá: (i) Comprobar la identidad y circunstancias personales de los Solicitantes de Certificado con arreglo al artículo 13 de la Ley núm. 59/2003 de Firma Electrónica; (ii) Verificar que la información contenida en el Certificado es exacta y que incluye toda la información requerida para un Certificado Reconocido; (iii) Comprobar que el interesado en solicitar la emisión del Certificado está en posesión de la Clave Privada correspondiente a la Clave Pública que posteriormente constará en el Certificado, constituyendo desde entonces los Datos de verificación de Firma del Suscriptor; (iv) Proporcionar al Solicitante de forma electrónica y gratuita la información exigible en el articulo 18, apartado b) de la Ley núm. 59/2003 de Firma Electrónica antes de la expedición del Certificado. Esta información se proporciona a través de la Declaración de Prácticas de Certificación. La FNMT-RCM con carácter general deberá: (i) No almacenar ni copiar los Datos de creación de Firma de la persona a la que presta sus servicios; (ii) Demostrar la fiabilidad necesaria para prestar servicios de certificación; (iii) Garantizar que puede determinarse con precisión la fecha y la hora en las que se expidió un Certificado o se extinguió o suspendió su vigencia; (iv) Emplear personal con la cualificación, conocimiento y experiencia necesarios para la prestación de los servicios de certificación ofrecidos y los procedimientos de seguridad y de gestión adecuados en el ámbito de la firma electrónica; (v) Utilizar sistemas y productos fiables que doten de la seguridad técnica, y en su caso criptográfica, a los procesos de certificación a los que sirve de soporte; (vi) Tomar medidas contra la falsificación de Certificados; (vii) Conservar registrada por cualquier medio seguro toda la información y documentación relativa a un Certificado Reconocido y la Declaración de Prácticas de Certificación vigente en cada momento, al menos durante 15 años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con el mismo; (viii) Utilizar sistemas fiables para almacenar Certificados Reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos.
  5. Vigencia de los Certificados: Los Certificados quedarán sin efecto en los siguientes casos: (i) Expiración del período de validez del Certificado; (ii) Revocación solicitada por el Suscriptor, la persona física o Persona jurídica representada por éste, un tercero autorizado o la persona física solicitante de un Certificado de Persona jurídica; (iii) Violación o puesta en peligro del secreto de los Datos de creación de Firma del firmante o del Prestador de Servicios de Certificación o utilización indebida de dichos datos por un tercero; (iv) Resolución judicial o administrativa que lo ordene; (v) Fallecimiento o extinción de la personalidad jurídica del firmante o del Representado, incapacidad total sobrevenida total o parcial, de cualquiera de ellos, cese en el cargo, terminación de la representación o extinción de la Persona jurídica representada; (vi) Cese en su actividad como Prestador de Servicios de Certificación de la FNMT-RCM, salvo que, previo consentimiento expreso del Suscriptor, los Certificados expedidos por aquél sean transferidos a otro Prestador de Servicios de Certificación; (vii) Alteración de los datos aportados para la obtención del Certificado o modificación de las circunstancias verificadas para la expedición del Certificado, como las relativas al cargo o a las facultades de representación, de manera que éste ya no fuera conforme a la realidad; (viii) Cualquier otra causa lícita prevista en la Declaración de Prácticas de Certificación.
    La pérdida de eficacia de los Certificados, en los supuestos de expiración de su período de validez y de cese de actividad del Prestador de Servicios de Certificación tendrá lugar desde que estas circunstancias se produzcan. En los demás casos, la extinción de la eficacia de un Certificado surtirá efectos desde la fecha en que la FNMT-RCM tenga conocimiento cierto de cualquiera de los hechos determinantes de ella y así lo haga constar en la Lista de Revocación.

(*)Los términos en cursiva se encuentran definidos expresamente en el apartado 1. DEFINICIONES de la Declaración de Prácticas de Certificación de la FNMT-RCM.

 

¿Se pueden usar los certificados de la FNMT para firmar facturas electrónicas?

La respuesta corta es “NO”. Aunque podría matizarse cuando el destinatario de la factura sea una administración pública con Convenio firmado con la FNMT y, por tanto, perteneciente a su “Comunidad Electrónica”

La “Comunidad Electrónica”, se define en la declaración de prácticas de certificación  (DPC) vigente de la FNMT (cuya versión 2.11 es de Julio/2013):

Conjunto de personas y entidades usuarias que se relacionan con Certificados entre sí, bajo el marco general de la presente Declaración de Prácticas de Certificación, y particular de los correspondientes convenios y/o contratos que hayan suscrito, directamente o a través de representantes, con la FNMT-RCM.

Aun formando parte de la comunidad, no se pueden usar los de componentes informáticos para “Prestar servicios, a título gratuito u oneroso, como, por ejemplo … Prestar servicios de facturación electrónica”

Entre empresas (o cuando el destinatario es un organismo público sin convenio con FNMT) no se pueden usar certificado de FNMT para firma de facturas ni de ningún otro documento electrónico, aparte de por las restricciones de la DPC, porque no es posible acceder a la consulta de la vigencia de validez de los certificados (OCSP)

Firma electrónica de grabaciones de video en las salas de vistas de los órganos judiciales

CICERO, EFIDELIUS,  ARCONTE, SIGGRA

Con estas denominaciones se identifican diferentes sistemas de grabación de las salas de vistas  de los órganos judiciales.

El nuevo sistema de grabación de vistas permite cumplir con lo establecido en la reforma de la legislación procesal para la implantación de la nueva oficina judicial, en el sentido de que permite el uso de firma electrónica reconocida, por parte del secretario judicial, depositario de la fe pública procesal. Con la firma electrónica se garantiza la autenticidad e integridad de lo grabado. La Ley 13/2009, de 3 de noviembre, de reforma de la legislación procesal para la implantación de la nueva Oficina judicial, modifica la Ley de Procedimiento Laboral, la Ley de la Jurisdicción Contencioso-administrativa y la Ley de Enjuiciamiento Criminal para incluir la grabación de las vistas de modo generalizado, tal y como se había anticipado en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.
La Ley de Enjuiciamiento Criminal de 14 de septiembre de 1882 se modifica en varios aspectos, y en particular su artículo 743:
Artículo 743.

1. El desarrollo de las sesiones del juicio oral se registrará en soporte apto para la grabación y reproducción del sonido y de la imagen. El Secretario judicial deberá custodiar el documento electrónico que sirva de soporte a la grabación. Las partes podrán pedir, a su costa, copia de las grabaciones originales.

2. Siempre que se cuente con los medios tecnológicos necesarios el Secretario judicial garantizará la autenticidad e integridad de lo grabado o reproducido mediante la utilización de la firma electrónica reconocida u otro sistema de seguridad que conforme a la ley ofrezca tales garantías. En este caso, la celebración del acto no requerirá la presencia en la sala del Secretario judicial salvo que lo hubieran solicitado las partes, al menos dos días antes de la celebración de la vista, o que excepcionalmente lo considere necesario el Secretario judicial, atendiendo a la complejidad del asunto, al número y naturaleza de las pruebas a practicar, al número de intervinientes, a la posibilidad de que se produzcan incidencias que no pudieran registrarse, o a la concurrencia de otras circunstancias igualmente excepcionales que lo justifiquen, supuesto en el cual el Secretario judicial extenderá acta sucinta en los términos previstos en el apartado siguiente.

(..)

También se realiza la Modificación de la Ley de Procedimiento Laboral, texto refundido aprobado por real decreto legislativo 2/1995, de 7 de abril, por el que se aprueba el texto refundido de la Ley de Procedimiento laboral en el mismo sentido, en su artículo 89:
Artículo 89.

1. El desarrollo de las sesiones del juicio oral se registrará en soporte apto para la grabación y reproducción del sonido y de la imagen. El Secretario judicial deberá custodiar el documento electrónico que sirva de soporte a la grabación. Las partes podrán pedir, a su costa, copia de las grabaciones originales.

2. Siempre que se cuente con los medios tecnológicos necesarios, el Secretario judicial garantizará la autenticidad e integridad de lo grabado o reproducido mediante la utilización de la firma electrónica reconocida u otro sistema de seguridad que conforme a la ley ofrezca tales garantías. En este caso, la celebración del acto no requerirá la presencia en la sala del Secretario judicial salvo que lo hubieran solicitado las partes, al menos dos días antes de la celebración de la vista, o que excepcionalmente lo considere necesario el Secretario judicial, atendiendo a la complejidad del asunto, al número y naturaleza de las pruebas a practicar, al número de intervinientes, a la posibilidad de que se produzcan incidencias que no pudieran registrarse, o a la concurrencia de otras circunstancias igualmente excepcionales que lo justifiquen; supuesto en el cual el Secretario judicial extenderá acta sucinta en los términos previstos en el apartado siguiente.

Se modifica la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el mismo sentido:
Artículo 63.

(…)

3. El desarrollo de la vista se registrará en soporte apto para la grabación y reproducción del sonido y de la imagen. El Secretario judicial deberá custodiar el documento electrónico que sirva de soporte a la grabación. Las partes podrán pedir, a su costa, copia de las grabaciones originales.

4. Siempre que se cuente con los medios tecnológicos necesarios, el Secretario judicial garantizará la autenticidad e integridad de lo grabado o reproducido mediante la utilización de la firma electrónica reconocida u otro sistema de seguridad que conforme a la ley ofrezca tales garantías. En este caso, la celebración del acto no requerirá la presencia en la sala del Secretario judicial, salvo que lo hubieran solicitado las partes, al menos dos días antes de la celebración de la vista, o que excepcionalmente el Secretario judicial lo considere necesario, atendiendo a la complejidad del asunto, al número y naturaleza de las pruebas a practicar, al número de intervinientes, a la posibilidad de que se produzcan incidencias que no pudieran registrarse, o a la concurrencia de otras circunstancias igualmente excepcionales que lo justifiquen, supuesto en el cual el Secretario judicial extenderá acta sucinta en los términos previstos en el apartado siguiente.

(…)

La Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil se modifica en los apartados 1 y 2 del artículo 146 que quedan redactados como sigue:

1. Las actuaciones procesales que no consistan en escritos y documentos se documentarán por medio de actas y diligencias. Cuando se utilicen medios técnicos de grabación o reproducción, el Secretario judicial garantizará la autenticidad de lo grabado o reproducido.»

2. Cuando la ley disponga que se levante acta, se recogerá en ella, con la necesaria extensión y detalle, todo lo actuado.

Si se tratase de actuaciones que conforme a esta ley hayan de registrarse en soporte apto para la grabación y reproducción, y el Secretario judicial dispusiere de firma electrónica reconocida u otro sistema de seguridad que conforme a la ley garantice la autenticidad e integridad de lo grabado, el documento electrónico así generado constituirá el acta a todos los efectos.

(…)

Y también el artículo 147
Artículo 147. Documentación de las actuaciones mediante sistemas de grabación y reproducción de la imagen y el sonido.Las actuaciones orales en vistas, audiencias y comparecencias celebradas ante el Tribunal, se registrarán en soporte apto para la grabación y reproducción del sonido y la imagen.

Siempre que se cuente con los medios tecnológicos necesarios, el Secretario judicial garantizará la autenticidad e integridad de lo grabado o reproducido mediante la utilización de la firma electrónica reconocida u otro sistema de seguridad que conforme a la ley ofrezca tales garantías. En este caso, la celebración del acto no requerirá la presencia en la sala del Secretario judicial salvo que lo hubieran solicitado las partes, al menos dos días antes de la celebración de la vista, o que excepcionalmente lo considere necesario el Secretario judicial atendiendo a la complejidad del asunto, al número y naturaleza de las pruebas a practicar, al número de intervinientes, a la posibilidad de que se produzcan incidencias que no pudieran registrarse, o a la concurrencia de otras circunstancias igualmente excepcionales que lo justifiquen. En estos casos, el Secretario judicial extenderá acta sucinta en los términos previstos en el artículo anterior.

El Secretario judicial deberá custodiar el documento electrónico que sirva de soporte a la grabación.

Las partes podrán pedir, a su costa, copia de las grabaciones originales.

El sistema eFidelius está integrado con el flujo de trabajo del juzgado y el sistema de gestión procesal Minerva-NOJ a través de la agenda de señalamientos centralizada, permitiendo al secretario visualizar la vista en remoto desde su despacho y recibir alertas por SMS si se produjeran incidencias en la sala. Arconte y Siggra se integran igualmente con la agenda de señalamientos.
La calidad de video es relativamente alta, por lo que las grabaciones ocupan aproximadamente 450 Mb por hora de grabación.